Az új átverés: hamis bejelentkező ablak, ami mindenkit megtéveszt
A Sneaky2FA újdonsága egy felugró BitB-ablak, amely a Microsoft hivatalos bejelentkező ablakát utánozza, sőt még az áldozat operációs rendszeréhez és böngészőjéhez is igazodik. Így hiába létezik kétfaktoros hitelesítés, a támadó ezt is képes megkerülni: amikor az áldozat beírja az adatait, azok a támadóhoz kerülnek, aki ezzel máris beléphet a fiókba.
Miért ilyen hatékony?
A támadás során az áldozat egy, a támadó által irányított oldalra jut (például previewdoc[.]com-ra), ahol egy Cloudflare-botellenőrzés után egy hamis Microsoft-bejelentkező felület fogadja. A BitB segítségével a felugró ablak tökéletesen utánozza a hivatalos felületet az URL-lel együtt, legyen szó Edge-ről Windowson vagy Safariról macOS-en. Mindez rendkívül hitelesnek tűnik, és minimális az esélye annak, hogy az áldozat gyanút fogjon.
Professzionális rejtőzködés
A Sneaky2FA-oldalak HTML- és JavaScript-kódjait szinte felismerhetetlenné teszi az erős obfuszkáció. A felhasználó számára láthatatlan változtatásokkal (mint például rejtett tagek vagy képként beágyazott kezelőfelületi elemek) a csalóoldalakat nehéz automatikus ellenőrzésekkel lebuktatni. Ráadásul a kód úgy van beállítva, hogy a kutatóknak egy ártalmatlan oldal jelenjen meg.
Lehet védekezni ellene?
Egy trükk, amivel felismerhető a csalás: ha a felugró ablakot nem lehet elhúzni a böngésző főablakán kívülre, az nagy eséllyel hamis. Ráadásul az igazi felugró ablak megjelenik a tálcán is, külön böngészőpéldányként. Hasonló BitB-támogatás már feltűnt a Raccoon0365/Storm-2246 nevű PhaaS-rendszernél is, amelyet a Microsoft és a Cloudflare is megpróbált lekapcsolni azután, hogy több ezer Microsoft 365-fiókot támadott meg.
